Titulares

Noticias

xx Dos hilos, una aplicación: explotación en Android



El pasado viernes, en la última jornada de la Ekoparty, los investigadores representantes de Core Security Technologies, Martin Balao y Martin Fernandez, nos deleitaron con su demostración de explotación de aplicaciones Android para lograr la ejecución de comandos en dispositivos remotos. Esto se lograba mediante la posibilidad de inyectar procesos para hacer uso de aplicaciones con vulnerabilidades conocidas, y así conseguir acceso a los permisos vigentes en el equipo víctima. A lo largo de su presentación explicaron cómo explotar, escalar y post-explotar este tipo de debilidades presentes en uno de los sistemas operativos móviles más utilizados mundialmente, de manera absolutamente imperceptible para el usuario del terminal.

¿En qué consiste la explotación?

La idea principal de su desarrollo radica en la inyección de procesos para obtener los permisos otorgados a una aplicación vulnerable, y así lograr ganar acceso a la Dalvik VM. Esto se logra mediante la explotación de la clase WebView, la cual presenta componentes HTML y javascript –usualmente utilizados para mostrar publicidades al usuario. Éstos vuelven posible la exposición de instancias de clases de Java con la utilización del método addJavascriptInterface() que exporta un objeto JSInterface, deviniendo en la invocación de métodos estáticos como getClass() o forName(), y la eventual obtención del contexto de ejecución conjuntamente a la explotación de cualquier clase cargada en la VM, pudiendo ejecutarse con esta vulnerabilidad diferentes comandos en el sistema operativo remoto.


Leer más
Noticia publicada 4 Noviembre 2014, 16:33 pm por r32
xx Adiós a Windows 8 retail, Microsoft marca distancia

Windows 8 Retail ya no está en el mercado cumpliendo el ciclo de vida estipulado por Microsoft. La firma marca distancia con la versión inicial de su último sistema operativo y deja únicamente a Windows 8.1 y a Windows 7 Pro como versiones de referencia a la espera de Windows 10.

Además de la versión OEM de Windows 7 que los fabricantes de equipos originales utilizan para pre-instalar en equipos nuevos, Microsoft también suspende la venta de Windows 8 Retail (tiendas físicas y on-line) aunque todavía pueden ser adquiridas por los fabricantes de equipos originales hasta una fecha aún no establecida.

Con ello, la única versión disponible en retail es Windows 8.1 y en la práctica, es la edición de referencia a utilizar por los OEM para pre-instalar en equipos nuevos. También Windows 7 Pro, “salvada” por Microsoft para cubrir el mercado profesional y corporativo ofreciéndose directamente o en modo “downgrade” desde un Windows 8/8.1 que no ha funcionado como esperaba Microsoft a pesar de tener ya un 16 por ciento de cuota de mercado en el escritorio.

La estrategia sería apoyar la venta de equipos nuevos a la espera del lanzamiento de un Windows 10 del que se espera mucho, como aglutinador de migraciones masivas solventando la papeleta de Windows XP y utilizándose en todo tipo de equipos por su concepto multidispositivo.

Más información del ciclo de vida de sistemas Windows y soporte técnico | MuyCanal http://www.muycanal.com/2014/11/04/windows-8-retail

http://www.muycomputer.com/2014/11/04/windows-8-retail

Leer más
Noticia publicada 4 Noviembre 2014, 14:22 pm por wolfbcn
xx Rootpipe, un fallo de seguridad en OS X Yosemite (Mac)

Un fallo de seguridad ha sido encontrado en OS X Yosemite, permitiendo el acceso como administradores a los hackers.

El fallo, que ha sido bautizado como Rootpipe, ha sido descubierto por el hacker sueco Emil Kvarnhammar. Se trata de una escalada de privilegios, un fallo bastante común en los sistemas Unix y tipo Unix, como Linux. Apple ha preguntado al hacker si puede retener los detalles hasta enero de 2015 con el fin de hallar una solución, así que posiblemente los usuarios de OS X Yosemite no tendrán un parche hasta el primer mes de 2015 como mínimo. Todo esto después de que la empresa de Kvarnhammar, TrueSec, intentara contactar con el gigante de Cupertino, recibiendo al principio el silencio como respuesta.

Ante esta situación el hacker ha comentado que “el acuerdo con Apple es dar a conocer los detalles a mediados de enero de 2015. Puede parecer una larga espera, pero bueno, el tiempo vuela. Es importante que tengan tiempo para parchear, y que el parche esté disponible dentro de un tiempo”.

De nuevo no encontramos ante una reacción tibia por parte de Apple ante un error grave de seguridad, tras dejar boquiabierto a buena parte del sector de la informática ante su aparente indiferencia ante el terremoto de Shellshock.

Por su parte TrueSec ha publicado un vídeo en YouTube mostrando sus descubrimientos.

http://www.youtube.com/watch?feature=player_embedded&v=fCQg2I_pFDk

Fuente | ZDNet

http://www.muycomputer.com/2014/11/04/rootpipe-fallo-de-seguridad-os-x-yosemite

Leer más
Noticia publicada 4 Noviembre 2014, 14:11 pm por wolfbcn
xx Siete programas que, sorprendentemente, siguen existiendo

Los tiempos cambian, y muchos de los que ayer fueron programas de referencia en sus diferentes sectores hoy ya han pasado al olvido. Pero también existen los reyes en el exilio, aquellos programas de los que ya poca gente se acuerda pero que aun siguen manteniéndose en pie pese a sus pocas esperanzas de volver a recuperar sus tronos.

Hoy os vamos a hablar de estos últimos, los programas que aún se mantienen vivos, con mayor o menor repercusión, después de que ya hayan quedado lejos sus años de bonanza. De hecho, es muy posible que os lleguéis a sorprender de que alguno de los que vamos a mencionar siga existiendo.


Nero

Nero reinó en los lejanos tiempos en los que la nube no existía y los USB apenas tenían capacidad de almacenamiento, por lo que si queríamos hacer copias de seguridad teníamos que grabarlas en un CD o DVD. Tampoco había demasiadas herramientas para montar las imágenes ISO, por lo que también teníamos que recurrir a él para probar cualquier programa que descargásemos con ese formato.

Desde entonces han pasado ya muchos años, y unidades físicas como los USB y los discos duros externos han reemplazado a los DVDs a la hora de hacer copias de seguridad. Pero Nero se mantiene en pie con una suite premium con opciones como el clásico Burning ROM, un sistema para hacer copias de seguridad y un completo editor de vídeo.

No deja de tener un enorme mérito el hecho de que en unos tiempos como los actuales, con decenas de alternativas gratuítas, Nero siga manteniéndose con una suite a un precio de entre 50 y 90 euros.

Napster

Napster nacio a finales de 1999, y supuso el...

Leer más
Noticia publicada 4 Noviembre 2014, 10:17 am por wolfbcn
xx Intel compensará a usuarios por manipular benchmarks de Pentium 4

Hace casi catorce años que Intel lanzó el Pentium 4 en medio de una interesante batalla con AMD, una empresa que llegaba a comerle el mercado con sus procesadores Athlon. El problema es que Intel quiso sacar ventaja alterando los benchmarks para convencer a los usuarios y esto le ocasionó una demanda colectiva que hoy se ve obligada a responder.

La demanda indica que a pesar de contar con errores de diseño y un rendimiento cuestionable, Intel infló las cifras de la primera generación de Pentium 4 utilizando “sus enormes recursos e influencia en la industria de cómputo”. Los benchmarks otorgaban más puntos a su nuevo procesador comparado con la oferta de AMD.

Después de pelear en tribunales por más de una década, Intel acordó pagar USD $15 a los usuarios que compraron un Pentium IV entre 2000 y 2002; un dólar de compensación por cada año. Para hacerse acreedores a esta golosa suma de dinero, los usuarios deberán capturar algunos datos en el formulario del sitio Intel Pentium 4 Settlement http://www.intelpentium4litigation.com/

Las letras pequeñas indican que los USD $15 solo aplicarán a residentes legales que vivan en Estados Unidos y hayan comprado un PC de marca conocida con Pentium 4 entre 2000 y 2002. No hay necesidad de mostrar el recibo de compra, solo indicar la fecha estimada en que fue adquirido y la tienda donde se compró. La fecha límite para hacerlo es el 14 de abril del 2015

Aquellos que viven fuera de territorio estadounidense o que hayan comprado su procesador aparte para armar el PC quedarán fuera de la jugada. Esta noticia me hace recordar cuántos días pasé revisando reseñas y benchmarks de Pentium 4 en...

Leer más
Noticia publicada 4 Noviembre 2014, 01:48 am por wolfbcn
xx Taylor Swift apunta al comienzo de la rebelión de los músicos contra Spotify

Si te gusta Taylor Swift y eres de los que escucha una y otra vez sus canciones en Spotify, tengo una mala noticia para ti: la cantante acaba de retirar toda su discografía de esta popular plataforma de streaming. Si buscas por su nombre, recibirás cero resultados. Y si tenías su música en alguna lista de reproducción, habrá desaparecido repentinamente.

Si bien Swift todavía no se ha pronunciado al respecto (tampoco lo ha hecho su discográfica), desde el blog oficial de Spotify le han dedicado una original despedida que incluye una ingeniosa lista de reproducción y un ruego para que vuelva. No es para menos: dicen que más de 16 millones de usuarios han reproducido sus canciones en el último mes. Pero dejando cifras y bromas a un lado, en Spotify seguramente estén muy preocupados. O deberían.

LEER MAS: http://www.xataka.com/aplicaciones-y-servicios/taylor-swift-apunta-al-comienzo-de-la-rebelion-de-los-musicos-contra-spotify

Leer más
Noticia publicada 4 Noviembre 2014, 01:46 am por wolfbcn
xx Un ordenador en el botón de la chaqueta

La revolución del móvil inteligente pasó de largo por su puerta. Intel, el primer fabricante de chips, no apostó por smartphones y tabletas hasta que fueron una realidad consolidada. Qualcomm es líder en ese campo. Una de las empresas fundadoras de Silicon Valley lucha por mantener su papel en el futuro con los wearables, la tecnología que se integra en el cuerpo, como parte central de su estrategia.

Brian Krzanich, consejero delegado de Intel, lo deja claro: “Las empresas de tecnología a veces nos limitamos con nuestra propia perspectiva. Nos cerramos en nosotros mismos y no vemos el futuro".

Entre tanta fiebre por los relojes inteligentes, especialmente tras sumarse Apple a este campo, el directivo se hizo una pregunta: “Si hace 30 años que tenemos relojes digitales que pueden hacer cálculos, ¿por qué ahora vuelven? No es sólo moda, es porque hay tecnología disponible para sacar partido, pero no queremos ser uno más, sino aliarnos con los que sean capaces de dar un enfoque distinto. No sirve de nada quedarse en el reloj o la pulsera que mide el ejercicio”.

En su opinión, el verdadero estallido llegará de la mano del Internet de las cosas, como se denomina a la interacción entre varios dispositivos conectados entre sí sin necesidad de un ordenador para ello. “En 2016, podremos meter un ordenador en el botón de la chaqueta. Esa es nuestra meta, seguir investigando e impulsando la miniaturización de chips”, insistió.

El sector de los wearables se presenta como la próxima gran revolución, firmas deportivas y de moda han centrado su atención en ello. Los vaticinios de Juniper Networks indican que este año generará 4.500 millones de...

Leer más
Noticia publicada 4 Noviembre 2014, 01:45 am por wolfbcn
xx China recurre a las armas láser para derribar drones

China ha presentado un nuevo sistema de defensa anti drones, consistente en el uso de armas láser para derribar en pleno vuelo a estas aeronaves no tripuladas a muchos metros de distancia con una precisión asombrosa. Estados Unidos ya hace uso de un armamento de defensa contra drones similar.

Los drones hace tiempo que llegaron para quedarse. Aunque inicialmente se concibieron para ser destinados al uso militar, sus usos pueden ser muy diversos desde la investigación científica al rescate de personas o el puro entretenimiento personal. Pero es sin duda su matiz bélico el que resulta más amenazador ya que la potencia de fuego que pueden llegar a ofrecer estas aeronaves junto con el hecho de ser tripuladas a control remoto sin exponer a las propias tropas, la hacen una de las armas más utilizadas en las guerras modernas.

Es por ello que China ha anunciado hoy un nuevo sistema de defensa anti drones basado en armas láser capaces de derribar a gran distancia a estos aparatos no tripulados. El ejército chino se pone de esta manera a la altura de las fuerzas militares de Estados Unidos que ya anunciaron a principios de año un sistema de defensa de similares características. Con la ayuda de las armas láser, China será capaz de derribar un dron que viaje a 160 kilómetros por hora, sobrevolando el territorio a una altitud de casi 500 metros.

Un láser capaz de hacer diana en un dron a 2 kilómetros de distancia

Este nuevo armamento que será usado contra los drones hostiles o no autorizados que sobrevuelen el territorio del gigante asiático, podrá derribar uno o varios drones en pocos segundos. Tiene un rango de alcance de casi 2...

Leer más
Noticia publicada 3 Noviembre 2014, 21:44 pm por wolfbcn
lamp ¿Anonymous acabará con Facebook este 5 de noviembre?

Este fin de semana ha comenzado a correr como la pólvora la noticia de que Anonymous pretendía acabar con Facebook el 5 de noviembre, es decir, el miércoles. La amenaza habría sido publicada en el diario británico The Independent, aunque la mayoría de los medios recogían la alarmante noticia del portal RT, la agencia rusa de noticias conocida por dos motivos: apoyar a Putin y sus intereses haga lo que haga y sean los que sean y publicar los bulos más variados y ridículos con tal de conseguir notoriedad. Una búsqueda en el diario británico sobre Facebok y Anonymous no ofrece resultados recientes. ¿Habrá conseguido RT colarnos un gol?

Pues no, en esta ocasión RT no ha tenido la culpa. El medio digital que ha publicado primero la noticia ha sido Informativos Telecinco y ha ofrecido un enlace al artículo original. El problema es que dicho artículo fue publicado el 2 de noviembre... de 2012. Algunos medios que han aprovechado para republicar la pieza de RT han copiado un texto literal de ésta, que se refería a que "este lunes" llegaría el apocalipsis de Facebook. Pero este año el día 5 de noviembre cae en miércoles. Porque fue hace dos años cuando el Independent publicó la amenaza.

Tampoco es que Anonymous tenga capacidad para algo semejante, claro, como parece evidente por el hecho de que no lograron destruir Facebook hace dos años. Según Planeta Incógnito, el origen del bulo estaría realmente en la revista Año Cero, que habría compartido en su perfil de la red social un enlace al artículo de Russia Today. Un bulo, en definitiva, del que se han hecho eco también Cuatro, Qué.es y Europa Press, entre otros medios.

http://...

Leer más
Noticia publicada 3 Noviembre 2014, 21:43 pm por wolfbcn
xx Tarjetas contactless de Visa permitían cargar grandes cantidades sin ....

Las tarjetas contactless son más populares de lo que la gente piensa, por lo menos en Europa. Seguramente mucha gente tiene una sin saber qué es. Las tarjetas de crédito y débito contactless que te permiten pagar tan solo con pasarla por encima de un punto de venta permiten ahorrar tiempo al no tener que dársela a la persona que te está cobrando, incluso si la cantidad es menos de 20€ no tienes ni que ingresar el código PIN.

Visa ha tenido un grave problema entre manos con este sistema de pago sin contacto mediante tecnología NFC. Investigadores de Universidad de Newcastle han descubierto un intrigante fallo de seguridad en estas tarjetas, que permitían cobrar altas cantidades de dinero en moneda extranjera sin pedir confirmación.

Aunque los bancos están entregando estas nuevas tarjetas de crédito a millones de clientes con límites de pagos sin necesidad de PIN, se ha demostrado que la tecnología NFC para pagos no es ni de lejos perfecta y se puede lograr atacar para conseguir cierta información o saltarse métodos de verificación como ha sido este caso.

Para demostrarlo, con una tarjeta VISA contactless británica y un smartphone configurado como punto de pago, logran cargar miles de dólares sin necesitad de ningún código PIN de verificación. Esto abre de nuevo el dilema, ¿está a salvo mi cuenta bancaria con una tarjeta de pago de este tipo?

En resumidas cuentas sí, tu cuenta está a salvo, pero no es 100% seguro y es un sistema tiene fallos de nacimiento. Lo primero que hay que saber es que la tecnología de pago contactless necesita estar prácticamente rozando ambos dispositivos para poder entenderse, pero si alguien es capaz...

Leer más
Noticia publicada 3 Noviembre 2014, 21:42 pm por wolfbcn

 

 

Conectado desde: 216.73.216.112